際際滷

際際滷Share a Scribd company logo

Un altro anno di GDPR: analizziamolo sulla base del survey del IPTT per il 2022

Download as PPTX, PDF
Giulio Coraggio
Giulio Coraggio

Come gi accaduto nel 2021, l'IPTT - Italian Privacy Think Tank ha realizzato per il 2022 un survey per valutare il livello di compliance alla normativa privacy delle aziende che operano in Italia, analizzando le problematiche che sono al momento pi湛 calde sull'argomento. Per celebrare un altro anno di GDPR, abbiamo organizzato un webinar in cui analizzeremo i risultati del survey con - Serena Condu di Plenitude - Marco Montesano di Amazon - Marco Ancora di ING Italia - Giorgio Presepio del Gruppo San Donato e - Luca Angelini di Admiral Group moderati da Giulio Coraggio dello studio legale DLA Piper. Il panel 竪 stato anticipato da un intervento di Deborah Paracchini e Maria Chiara Meneghetti dello studio legale DLA Piper che illustreranno i risultati del survey e le criticit emerse.

1 of 15
07 giugno 2022 Un altro anno di GDPR: analizziamolo sulla base del survey dell'IPTT sulla compliance privacy
www.dlapiper.com Vecchie e nuove tematiche di interesse 2 Indice degli argomenti Gestione attivit di marketing Gestione siti web e utilizzo dei cookie Legal design Modello organizzativo Trasferimenti extra-UE Data Breach & Cybersecurity Attivit ispettiva
www.dlapiper.com 3 Quale 竪 la base legale che utilizzate per i trattamenti di direct marketing via email e altri strumenti di comunicazione elettronica? 66% Due consensi separati per l'invio di comunicazioni di marketing del titolare del trattamento e per la profilazione 24% Due consensi separati per l'invio di comunicazioni di marketing del titolare del trattamento e per la profilazione e il legittimo interesse per la profilazione light 4% Un unico consenso per l'invio di comunicazioni di marketing del titolare del trattamento e per la profilazione 2% Il consenso per l'invio di comunicazioni di marketing e il legittimo interesse per la profilazione 2% Il legittimo interesse per l'invio di comunicazioni di marketing del titolare del trattamento e per la profilazione 2% L'articolo 130, comma 4, del Codice Privacy per l'invio di comunicazioni di marketing e il legittimo interesse per la profilazione 0% Altro
www.dlapiper.com 4 Per quanto tempo conservate i dati raccolti per l'invio di comunicazioni di marketing e profilazione? 55% Non pi湛 di 24 mesi dalla raccolta o dall'ultima interazione con l'interessato sia per marketing che per profilazione 2% Non pi湛 di 24 mesi dalla raccolta o dall'ultima interazione con l'interessato per la profilazione, mentre teniamo i dati per finalit di marketing a tempo indeterminato 23% Pi湛 di 24 mesi dalla raccolta o dall'ultima interazione con l'interessato, ma entro un termine indicato nell'informativa privacy 4% Finch辿 l'interessato non esercita l'opt-out 14% Fino alla scadenza di un termine adeguato alle finalit del trattamento, ma senza specificare il termine nell'informativa privacy 0% A tempo indeterminato 2% Altro
www.dlapiper.com Bisogna conoscere i propri clienti per fissare la giusta scadenza dei consensi 5 Tendenziale allineamento delle aziende a quanto previsto nei provvedimenti o linee guida del Garante Invio di comunicazioni di marketing Ottenere un chiaro e specifico consenso per linvio di comunicazioni commerciali Chiedere un consenso specifico per la comunicazione e/o cessione a soggetti terzi a fini di marketing Il consenso deve essere documentato per iscritto Utilizzare leccezione del "soft spam" per l卒invio di posta elettronica promozionale, senza dover ottenere il previo consenso dei clienti Il telemarketing e la gestione del registro delle opposizioni Effettuare la profilazione degli interessati Individuare lattivit di trattamento effettuata: profilazione o segmentazione? Raccogliere il previo e specifico consenso degli interessati: un unico consenso per inviare comunicazioni commerciali profilate 竪 sufficiente? Utilizzare la profilazione 束light損 come eccezione al consenso: quando il legittimo interesse dellazienda 竪 bilanciato con quello degli interessati
www.dlapiper.com 6 Come gestite la conformit con le nuove linee guida del Garante sui cookie? 0% Abbiamo un cookie banner che obbliga ad accettare i cookie, compresi quelli di marketing, perch辿 funzionali al funzionamento del sito 30% Abbiamo un cookie banner che consente di accettare tutti i cookie o di selezionare i cookie/le categorie di cookie che si intendono accettare 68% Abbiamo un cookie banner che consente di accettare tutti i cookie, continuare la navigazione senza accettare i cookie e selezionare i cookie/le categorie di cookie che si intendono accettare 2% Stiamo ancora valutando la soluzione migliore 0% Non abbiamo un cookie banner 0% Altro
www.dlapiper.com Quali sono le novit principali? 7 Adottate dal Garante per la protezione dei dati personali il 10 giugno 2021 Linee guida cookie e altri strumenti di tracciamento Il Banner Cookie La Cookie Management Platform Il cookie wall La raccolta del consenso e lo scrolling Reiterazione del consenso Non solo cookie, ma anche altri strumenti di tracciamento
www.dlapiper.com 8 Avete adottato soluzioni di legal design per la vostra informativa privacy? 20% S狸 e abbiamo incaricato un designer di occuparsene 10% S狸 e abbiamo incaricato uno studio legale di occuparsene 10% S狸 e abbiamo dato un incarico ad uno studio legale e un designer di occuparsene congiuntamente 30% Non ancora, ma pensiamo di farlo a breve 22% No e non riteniamo sia necessario per il nostro business 8% Altro
www.dlapiper.com 9 Il Legal Design 竪 l'applicazione del design al mondo legale al fine di rendere i sistemi e i servizi legali umano centrici. Non si tratta di redigere o ridisegnare documenti legali, ma di empatizzare con il proprio audience, utilizzando il giusto mezzo e tone of voice per comunicare un contenuto legale. Perch辿 竪 importante il Legal Design? Grazie allutilizzo di documenti facilmente comprensibili ed utilizzabili, 竪 possibile instaurare migliori relazioni di business e ad incrementare la fiducia nei propri clienti finali, anche riducendo la durata dei cicli di negoziazione ed evitando molte controversie grazie all'uso di un linguaggio semplice. Anche il Garante per la protezione dei dati personali ha riconosciuto il valore e limportanza della materia, patrocinando il primo hackathon italiano di Legal Design
www.dlapiper.com 10 A chi riporta il DPO della vostra azienda? 22% 14% 14% 26% 10% 10% 4% Abbiamo un DPO esterno Altro Non abbiamo un DPO Abbiamo un DPO interno che riporta al responsabile dell'ufficio legale o compliance Abbiamo un DPO interno che 竪 responsabile dell'ufficio legale o compliance Abbiamo un DPO interno che riporta al consiglio di amministrazione Abbiamo un DPO interno che riporta a un dirigente dell'azienda diverso dal responsabile dell'ufficio legale (e.g., IT, internal audit, finance, AD)
www.dlapiper.com 11 Eseguite una valutazione dei trasferimenti di dati personali fuori dello SEE dopo la sentenza Schrems II? 46% 18% 16% 0% 2% 6% 12% No, perch辿 non sappiamo come svolgerla, ma sappiamo che dobbiamo svolgerla No, riteniamo che sia improbabile una sanzione S狸, ma solo sui trasferimenti di dati personali pi湛 rilevanti Altro No, sarebbe troppo oneroso No, ma sappiamo che dovremo iniziare a farlo presto S狸, la stiamo svolgendo su tutti i trasferimenti di dati personali
www.dlapiper.com 12 Ritenete che la vostra azienda sia pronta a gestire un data breach derivante da un attacco ransomware? 22% 16% 46% 2% 8% 6% Non riteniamo che la nostra azienda sia a rischio di diventare vittima di un attacco ransomware, le nostre misure di sicurezza sono sufficientemente robuste Si, il dipartimento legale/privacy e IT/cybersecurity hanno realizzato una procedura di data breach e abbiamo svolto una simulazione di attacco ransomware per testarne laffidabilit Si, 竪 un aspetto di competenza del dipartimento IT/cybersecurity Altro Pensiamo di svolgere una simulazione di data breach derivante da ransomware Si, abbiamo una procedura interna per la gestione dei data breach, ma non labbiamo mai testata
www.dlapiper.com 13 40% 36% 0% 22% 0% 2% Altro Non c竪 nessuna compliance in materia di cybersecurity, si tratta di aspetti solo tecnici Abbiamo mappato tutti i requisiti di compliance normativa che sono rilevanti ai fini della cybersecurity e abbiamo svolto una analisi di compliance che ha coinvolto il dipartimento legale, privacy, e IT/cybersecurity unanalisi che viene eseguita congiuntamente dal dipartimento privacy con il dipartimento IT/cybersecurity con i rispettivi consulenti La compliance in materia di cybersecurity non viene valutata, pensiamo di non averne bisogno unanalisi di competenza del nostro dipartimento IT/cybersecurity con i loro consulenti tecnici Come valutate la compliance in materia di cybersecurity dell'azienda?
www.dlapiper.com 14 22% Abbiamo una procedura interna per gestire le ispezioni e abbiamo eseguito una simulazione di ispezione 24% Abbiamo una procedura interna per gestire le ispezioni ma non l'abbiamo mai testata 12% Non abbiamo una procedura per gestire le ispezioni, pensiamo non sia necessaria 0% Vista la tipologia di mercato in cui operiamo, non pensiamo che subiremo mai un'ispezione del Garante 32% Non abbiamo una procedura per gestire le ispezioni, ma stiamo pensando di adottarla 8% Abbiamo gi subito delle ispezioni del Garante e sappiamo come gestirle 2% Altro Come gestite unispezione del Garante per la protezione dei dati personali?
www.dlapiper.com Grazie! 15

More Related Content

Un altro anno di GDPR: analizziamolo sulla base del survey del IPTT per il 2022

  • 1. 07 giugno 2022 Un altro anno di GDPR: analizziamolo sulla base del survey dell'IPTT sulla compliance privacy
  • 2. www.dlapiper.com Vecchie e nuove tematiche di interesse 2 Indice degli argomenti Gestione attivit di marketing Gestione siti web e utilizzo dei cookie Legal design Modello organizzativo Trasferimenti extra-UE Data Breach & Cybersecurity Attivit ispettiva
  • 3. www.dlapiper.com 3 Quale 竪 la base legale che utilizzate per i trattamenti di direct marketing via email e altri strumenti di comunicazione elettronica? 66% Due consensi separati per l'invio di comunicazioni di marketing del titolare del trattamento e per la profilazione 24% Due consensi separati per l'invio di comunicazioni di marketing del titolare del trattamento e per la profilazione e il legittimo interesse per la profilazione light 4% Un unico consenso per l'invio di comunicazioni di marketing del titolare del trattamento e per la profilazione 2% Il consenso per l'invio di comunicazioni di marketing e il legittimo interesse per la profilazione 2% Il legittimo interesse per l'invio di comunicazioni di marketing del titolare del trattamento e per la profilazione 2% L'articolo 130, comma 4, del Codice Privacy per l'invio di comunicazioni di marketing e il legittimo interesse per la profilazione 0% Altro
  • 4. www.dlapiper.com 4 Per quanto tempo conservate i dati raccolti per l'invio di comunicazioni di marketing e profilazione? 55% Non pi湛 di 24 mesi dalla raccolta o dall'ultima interazione con l'interessato sia per marketing che per profilazione 2% Non pi湛 di 24 mesi dalla raccolta o dall'ultima interazione con l'interessato per la profilazione, mentre teniamo i dati per finalit di marketing a tempo indeterminato 23% Pi湛 di 24 mesi dalla raccolta o dall'ultima interazione con l'interessato, ma entro un termine indicato nell'informativa privacy 4% Finch辿 l'interessato non esercita l'opt-out 14% Fino alla scadenza di un termine adeguato alle finalit del trattamento, ma senza specificare il termine nell'informativa privacy 0% A tempo indeterminato 2% Altro
  • 5. www.dlapiper.com Bisogna conoscere i propri clienti per fissare la giusta scadenza dei consensi 5 Tendenziale allineamento delle aziende a quanto previsto nei provvedimenti o linee guida del Garante Invio di comunicazioni di marketing Ottenere un chiaro e specifico consenso per linvio di comunicazioni commerciali Chiedere un consenso specifico per la comunicazione e/o cessione a soggetti terzi a fini di marketing Il consenso deve essere documentato per iscritto Utilizzare leccezione del "soft spam" per l卒invio di posta elettronica promozionale, senza dover ottenere il previo consenso dei clienti Il telemarketing e la gestione del registro delle opposizioni Effettuare la profilazione degli interessati Individuare lattivit di trattamento effettuata: profilazione o segmentazione? Raccogliere il previo e specifico consenso degli interessati: un unico consenso per inviare comunicazioni commerciali profilate 竪 sufficiente? Utilizzare la profilazione 束light損 come eccezione al consenso: quando il legittimo interesse dellazienda 竪 bilanciato con quello degli interessati
  • 6. www.dlapiper.com 6 Come gestite la conformit con le nuove linee guida del Garante sui cookie? 0% Abbiamo un cookie banner che obbliga ad accettare i cookie, compresi quelli di marketing, perch辿 funzionali al funzionamento del sito 30% Abbiamo un cookie banner che consente di accettare tutti i cookie o di selezionare i cookie/le categorie di cookie che si intendono accettare 68% Abbiamo un cookie banner che consente di accettare tutti i cookie, continuare la navigazione senza accettare i cookie e selezionare i cookie/le categorie di cookie che si intendono accettare 2% Stiamo ancora valutando la soluzione migliore 0% Non abbiamo un cookie banner 0% Altro
  • 7. www.dlapiper.com Quali sono le novit principali? 7 Adottate dal Garante per la protezione dei dati personali il 10 giugno 2021 Linee guida cookie e altri strumenti di tracciamento Il Banner Cookie La Cookie Management Platform Il cookie wall La raccolta del consenso e lo scrolling Reiterazione del consenso Non solo cookie, ma anche altri strumenti di tracciamento
  • 8. www.dlapiper.com 8 Avete adottato soluzioni di legal design per la vostra informativa privacy? 20% S狸 e abbiamo incaricato un designer di occuparsene 10% S狸 e abbiamo incaricato uno studio legale di occuparsene 10% S狸 e abbiamo dato un incarico ad uno studio legale e un designer di occuparsene congiuntamente 30% Non ancora, ma pensiamo di farlo a breve 22% No e non riteniamo sia necessario per il nostro business 8% Altro
  • 9. www.dlapiper.com 9 Il Legal Design 竪 l'applicazione del design al mondo legale al fine di rendere i sistemi e i servizi legali umano centrici. Non si tratta di redigere o ridisegnare documenti legali, ma di empatizzare con il proprio audience, utilizzando il giusto mezzo e tone of voice per comunicare un contenuto legale. Perch辿 竪 importante il Legal Design? Grazie allutilizzo di documenti facilmente comprensibili ed utilizzabili, 竪 possibile instaurare migliori relazioni di business e ad incrementare la fiducia nei propri clienti finali, anche riducendo la durata dei cicli di negoziazione ed evitando molte controversie grazie all'uso di un linguaggio semplice. Anche il Garante per la protezione dei dati personali ha riconosciuto il valore e limportanza della materia, patrocinando il primo hackathon italiano di Legal Design
  • 10. www.dlapiper.com 10 A chi riporta il DPO della vostra azienda? 22% 14% 14% 26% 10% 10% 4% Abbiamo un DPO esterno Altro Non abbiamo un DPO Abbiamo un DPO interno che riporta al responsabile dell'ufficio legale o compliance Abbiamo un DPO interno che 竪 responsabile dell'ufficio legale o compliance Abbiamo un DPO interno che riporta al consiglio di amministrazione Abbiamo un DPO interno che riporta a un dirigente dell'azienda diverso dal responsabile dell'ufficio legale (e.g., IT, internal audit, finance, AD)
  • 11. www.dlapiper.com 11 Eseguite una valutazione dei trasferimenti di dati personali fuori dello SEE dopo la sentenza Schrems II? 46% 18% 16% 0% 2% 6% 12% No, perch辿 non sappiamo come svolgerla, ma sappiamo che dobbiamo svolgerla No, riteniamo che sia improbabile una sanzione S狸, ma solo sui trasferimenti di dati personali pi湛 rilevanti Altro No, sarebbe troppo oneroso No, ma sappiamo che dovremo iniziare a farlo presto S狸, la stiamo svolgendo su tutti i trasferimenti di dati personali
  • 12. www.dlapiper.com 12 Ritenete che la vostra azienda sia pronta a gestire un data breach derivante da un attacco ransomware? 22% 16% 46% 2% 8% 6% Non riteniamo che la nostra azienda sia a rischio di diventare vittima di un attacco ransomware, le nostre misure di sicurezza sono sufficientemente robuste Si, il dipartimento legale/privacy e IT/cybersecurity hanno realizzato una procedura di data breach e abbiamo svolto una simulazione di attacco ransomware per testarne laffidabilit Si, 竪 un aspetto di competenza del dipartimento IT/cybersecurity Altro Pensiamo di svolgere una simulazione di data breach derivante da ransomware Si, abbiamo una procedura interna per la gestione dei data breach, ma non labbiamo mai testata
  • 13. www.dlapiper.com 13 40% 36% 0% 22% 0% 2% Altro Non c竪 nessuna compliance in materia di cybersecurity, si tratta di aspetti solo tecnici Abbiamo mappato tutti i requisiti di compliance normativa che sono rilevanti ai fini della cybersecurity e abbiamo svolto una analisi di compliance che ha coinvolto il dipartimento legale, privacy, e IT/cybersecurity unanalisi che viene eseguita congiuntamente dal dipartimento privacy con il dipartimento IT/cybersecurity con i rispettivi consulenti La compliance in materia di cybersecurity non viene valutata, pensiamo di non averne bisogno unanalisi di competenza del nostro dipartimento IT/cybersecurity con i loro consulenti tecnici Come valutate la compliance in materia di cybersecurity dell'azienda?
  • 14. www.dlapiper.com 14 22% Abbiamo una procedura interna per gestire le ispezioni e abbiamo eseguito una simulazione di ispezione 24% Abbiamo una procedura interna per gestire le ispezioni ma non l'abbiamo mai testata 12% Non abbiamo una procedura per gestire le ispezioni, pensiamo non sia necessaria 0% Vista la tipologia di mercato in cui operiamo, non pensiamo che subiremo mai un'ispezione del Garante 32% Non abbiamo una procedura per gestire le ispezioni, ma stiamo pensando di adottarla 8% Abbiamo gi subito delle ispezioni del Garante e sappiamo come gestirle 2% Altro Come gestite unispezione del Garante per la protezione dei dati personali?